Zo'n zestien procent van de Google-accounts maakt gebruik van een passkey om in te loggen, zo claimt Google. Van de 2,4 miljard accounts die het techbedrijf zegt te hebben is er voor 400 miljoen een passkey ingesteld. Onlangs waarschuwde Proton dat de manier waarop Apple en Google passkeys hebben geïmplementeerd een valstrik is en alleen bedoeld om mensen in de ecosystemen van de techbedrijven vast te houden.

Passkeys zouden wachtwoorden moeten vervangen en zijn gebaseerd op de Web Authentication (WebAuthn) standaard. Ze maken gebruik van public key cryptography. Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen.

Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Volgens Proton hebben Apple en Google hun passkeys zo geïmplementeerd dat het lastig is om die eenvoudig over meerdere apparaten en platforms te gebruiken. Steeds meer partijen bieden passkeys aan, die ook door steeds meer wachtwoordmanagers worden ondersteund.